Европол, ФБР и правоохранительные органы многих стран мира, включая Канаду, Нидерланды, Францию, Германию, Литву, Великобританию и Украину, провели масштабную скоординированную операцию по ликвидации ботнета Emotet, подготовка к которой длилась два года.

Emotet появился еще в 2014 году и в последние годы стал одной из наиболее активных угроз среди вредоносных программ. Малварь распространялась преимущественно с почтовым спамом, через вредоносные документы Word, Excel и так далее. Такие письма могли маскироваться под инвойсы, накладные, предупреждения о безопасности аккаунта, приглашения на вечеринку или под информацию о распространении коронавируса. Словом, хакеры внимательно следили за мировыми трендами и постоянно совершенствовали письма-приманки.

Хотя когда-то Emotet начинал свой пусть как классический банковский троян, в итоге угроза сильно видоизменилась, превратившись в мощный загрузчик с множеством модулей, а ее операторы стали активно сотрудничать с другим преступными группами.

Проникнув в систему жертвы, Emotet использовал зараженную машину для дальнейшей рассылки спама, а также устанавливал на устройство самую разную дополнительную малварь. Зачастую это были банкеры, такие как Trickbot,  майнеры, инфостилеры, а также шифровальщики вроде Ryuk.

В своем отчете Европол называет Emotet «наиболее опасными вредоносным ПО в мире», а также «одним из самых выдающихся ботнетов последнего десятилетия». Ликвидация этой малвари, по мнению правоохранителей, станет одной из самых масштабных операций такого рода, а также окажет мощное влияние на весь преступный мир.

«На протяжении долгого времени Emotet был нашей угрозой номер один, и его устранение будет иметь большое значение. Emotet участвует в 30% всех атак вредоносного ПО, так что его успешная ликвидация окажет большое влияние на всю криминальную среду, — комментирует руководитель операций Европейского центра по борьбе с киберпреступностью Фурнандо Руис (Fernando Ruiz). — Мы ликвидировали один из основных дропперов на рынке, и теперь наверняка возникнет пробел, который попытаются заполнить другие преступники. Но на некоторое время [наша операция] окажет положительное влияние на кибербезопасность».

Власти сообщают, что, объединив усилия, им удалось захватить контроль над инфраструктурой Emotet и нарушить ее работу. В итоге преступники лишились возможности использовать взломанные машины, а малварь прекратила распространяться на новые цели.

«Инфраструктура Emotet включала несколько сотен серверов, расположенных по всему миру, и каждый из них имел разную функциональность, чтобы управлять зараженными компьютерами жертв, распространяться на новые машины, обслуживать другие преступные группы и, в конечном итоге, сделать сеть более устойчивой к попыткам отключения», — пишут специалисты Европола.

Хотя серверы преступников были расположены во многих странах мира, голландские полицейские заявили, что два из трех основных управляющих серверов Emotet располагались именно в их стране. Судя по всему, именно там была обнаружена база данных украденных email-адресов, имен пользователей и паролей. Теперь все желающие могут проверить, не подвергались ли они взлому через Emotet, просто посетив сайт полиции Нидерландов.

Также правоохранители сообщили, что использовали свой доступ к управляющим серверам для развертывания специального обновления на всех зараженных хостах. Код этого обновления содержит “бомбу замедленного действия”: этот механизм приведет к удалению Emotet со всех зараженных машин 25 марта 2021 года в 12:00 по местному времени. Эти данные подтверждают многочисленные ИБ-компании и эксперты.

Специалисты говорят о том, что этот "запланированный сбой" фактически обнулит Emotet, вынудив операторов малвари начинать все заново, предоставив ИТ-персоналу по всему миру возможность найти и обезопасить зараженные устройства.

Впрочем, неизвестно, многие ли операторы Emotet останутся на свободе к этому времени. Дело в том, что Киберполиция Украины уже сообщила об аресте двух человек, чья «деятельность» нанесла иностранным банкам ущерб в размере более 2,5 миллиардов долларов. Сообщается, что теперь задержанным грозит до 12 лет лишения свободы.

Украинские правоохранители опубликовали на своем сайте видео арестов и последующих обысков. В ролике видно, как полиция конфискует жесткие диски, компьютеры и другое оборудование, а также большие суммы денег и даже слитки золота.

«Анализ счетов преступной группой, стоящей за Emotet, показал, что за два года только на одной платформе виртуальной валюты было перемещено порядка 10,5 млн долларов, — пишут представители британского Национального агентства по борьбе с преступностью (National Crime Agency, NCA). — Следователи NCA смогли установить, что в этот период времени почти 500 000 долларов были потрачены группой на поддержание своей криминальной инфраструктуры».

UPD

Как заметили некоторые ИБ-исследователи, согласно документации MSDN, значение в поле tm_mon в коде обновления Emotet ведет свой отсчет от нуля (январь — это 0), а значит стирание Emotet, похоже, запланировано на 25 апреля, а не на 25 марта, как сообщалось ранее.

4 комментария

  1. Аватар

    VitalyOrbitsoft

    28.01.2021 в 11:39

    А почему именно 25 марта 2021 года в 12:00? Нельзя было дату раньше поставить?

    • Аватар

      Anon

      28.01.2021 в 11:53

      Видимо, чтобы было время заразить «хорошим» ботнетом какое-то кол-во людей. Типа как качественная опухоль.

    • Аватар

      Asylum

      28.01.2021 в 19:18

      До марта правоохранители сами немножко планируют заработать )))

  2. Аватар

    0xb4dc4f3

    31.01.2021 в 21:04

    Задержание на видео очень странное. Кругом компы, причем не первой свежести. Как будто это из начала 2000х. Ещё не хватает дсл модемов покругу.

Оставить мнение